DNS-AS を使用した AVC の設定 -...

DNS-ASを使用した AVCの設定

•機能情報の確認（1ページ）• DNS-ASを使用した AVCに関する前提条件（1ページ）• DNS-ASを使用した AVCの制約事項およびガイドライン（2ページ）• DNS-ASを使用した AVCについて（2ページ）• DNS-ASを使用した AVCの設定方法（8ページ）• DNS-ASを使用した AVCの監視（23ページ）• DNS-ASを使用した AVCのトラブルシューティング（27ページ）• DNS-ASを使用した AVCの機能履歴および情報（28ページ）

機能情報の確認ご使用のソフトウェアリリースでは、このモジュールで説明されるすべての機能がサポートさ

れているとは限りません。最新の機能情報および警告については、使用するプラットフォーム

およびソフトウェアリリースの Bug Search Toolおよびリリースノートを参照してください。このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリース

のリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコソフトウェアイメージのサポートに関する情報を

検索するには、Cisco Feature Navigatorを使用します。Cisco Feature Navigatorには、http://www.cisco.com/go/cfnからアクセスします。Cisco.comのアカウントは必要ありません。

DNS-ASを使用した AVCに関する前提条件• DNS-ASを使用するために、Cisco ONE for Accessを所有している。

•マルチレイヤスイッチ（MLS）の Quality of Service（QoS）が有効になっている。

• DNS-ASを使用した AVCを有効にする前に、権威 DNSサーバ内にデータを維持しており、到達可能である。

• DNS-ASクライアントがホストから開始されるフォワードルックアップ要求をスヌーピングできる。

DNS-ASを使用した AVCの設定1

www.cisco.com/go/cfn

http://www.cisco.com/c/en/us/products/software/one-access/index.html

• DNSパケットのロギングとスヌーピングを確実に実行するため、service-policy inputコマンドを使用してインターフェイスにポリシーマップを付加している。

DNS-ASを使用した AVCの制約事項およびガイドライン•フォワードルックアップのみがサポートされています。

• 2台の DNSサーバがサポートされます（フェールオーバーの場合）。1台がプライマリDNSサーバ、もう 1台がセカンダリ DNSサーバと見なされます。

• IPv6はサポートされていません。AAA要求、および IPv6DNSサーバはサポートされていません。

• DNS-ASを使用した AVCは、物理インターフェイス上の入力方向でのみサポートされています。

• Virtual Routing and Forwarding（VRF）はサポートされていません。

• TCAM（Ternary Content Addressable Memory）に影響するため、バインディングテーブル内の DNS-ASを使用した AVCアプリケーションは最大で 300個までにすることを推奨します。アプリケーションを追加することによって TCAMにどのように影響するかについては、この章の「DNS-ASを使用した AVCのトラブルシューティング」の項を参照してください。

DNS-ASを使用した AVCについて信頼できるソースとしてのドメインネームシステム（DNS-AS）機能を使用した ApplicationVisibility Control（AVC）（DNS-ASを使用した AVC）は、組織内の信頼ネットワークトラフィックの識別と分類を制御する一元化された手段を提供します。これは、対象のドメインに

対して権威のあるDNSサーバに格納されたネットワークメタデータを使用することで行われ、アプリケーションを識別し、サービス品質（QoS）によって対応するトラフィックを分類して適切なポリシーを適用し、Flexible Netflow（FNF）によって、アプリケーション情報を監視して外部コレクタにエクスポートします。

この機能は以下を提供します。

•アプリケーションの可視性：アプリケーションの可視性を向上させます。

DNS-ASメカニズムは要求をスヌーピングします。これには、CPU集約型のディープパケットインスペクション（DPI）は必要ありません。トラフィックの分類は、DPIではなく、DNS要求によるものであるため、この機能はネットワークトラフィックが暗号化されているシナリオに適しています。

•メタデータ駆動：アプリケーションに関する情報を使用します。



DNS-ASを使用した AVCの制約事項およびガイドライン

ネットワークを全体的にプログラムできるため、自動運転車のように動作します。トラ

フィックの暗号化の有無に関わらず、ネットワーク内の必要なアプリケーションすべてに

関する情報を入手できます。

•一元管理：クロスドメインアプリケーションを対象にしたポリシーコントローラを使用します。

この機能は、一般的に使用可能な既存のクエリ/応答メカニズムを活用して、権威サーバとして機能するように組織内のローカル DNSサーバを有効にし、アプリケーション分類情報をエンタープライズネットワーク内の DNS-ASクライアントに伝播させます。

•管理アクセスなしの制御：コントローラベースのアプローチに代わる手段を提供します。

この機能は、ネットワークがクラウド内にあり、クラウドの所有者ではないという状況も

サポートします。この場合も、これらのデバイスに対して管理制御を行えなくても、イン

ターネットを通じてネットワークデバイスを制御できます。

DNS-ASを使用した AVCの概要プロセスは、ネットワークトラフィックの管理と制御に関連する組織の要件で開始します。

ネットワーク内のさまざまなホスト（電話機、PCなど）で実行するソフトウェアアプリケーション、このようなデバイスがアクセスするドメイン（Webサイト）およびアプリケーション、ならびに組織内のこれらのドメインやアプリケーションのビジネス関連性を評価すること

から始めます。

この評価は、組織が「信頼」しているドメインやアプリケーションのリストを作成し、残りの

ドメインやアプリケーションはすべて信頼できないと指定するのに役立ちます。

ネットワーク上でDNS-ASを有効にし、信頼ドメインのリストを使用することで、ネットワーク内のネットワーキングデバイスや DNS-ASは、ネットワークトラフィックが属するアプリケーションや、要求されているドメインを識別します。トラフィックが信頼リストに含まれて

いる限り、スイッチは DNSサーバにメタデータや IPの情報を要求します。この要求は DNSクエリの形式で送信されます。受信されるとすぐに、そのリソースレコードの存続可能時間

（TTL）が切れるまで、応答がローカルにキャッシュされます。応答はトラフィックにバインドされ、DNS-ASクライアントが適切にトラフィックを識別、分類、転送できるようになります。

DNS-ASを使用した AVCの主要概念意味または定義概念

DNS-AS機能を使用した AVCでは、メタデータとしてトラフィック分類情報、アプリケーション識別情報、およびビジ

ネス関連性情報が含まれます。

メタデータはTXTレコード形式で維持されます。次に、所定の形式のメタデータ例を示します：CISCO-CLS=app-name:example|app-class:TD|business:YES|app-id:CU/28202

メタデータ（RFC6759）



DNS-ASを使用した AVCの概要

意味または定義概念

ホストから発信される IPアドレスの要求、または「A」レコードの要求。

DNS-AS機能を使用したACVには、ネットワークトラフィック内でこれらのフォワードルックアップをスヌーピングでき

る必要があります。

フォワードルックアップ

ユーザがソフトウェアアプリケーションを実行すると、PCやモバイルはWebサイトなどにアクセスします。

フォワードルックアップ要求はホストから開始されます。

ホスト

ネットワーク全体に存在するネットワーキングデバイス。ホ

ストトラフィックは常にこのようなクライアントを通じて

ルーティングされます。

この章では、アクセススイッチとしてのみ導入さ

れている Cisco Catalystスイッチ上の DNS-ASを使用したAVCの設定について説明します。このドキュメント全体を通じて、「クライアント」および

「DNS-ASクライアント」という用語は、DNS-ASを使用した AVCが有効になっているスイッチのことを指します。

（注）

DNS-ASクライアントは権威DNSサーバからメタデータを受信し、この情報のデータベースをレコード形式で維持しま

す。クライアントのデータベースにレコードが維持される期

間は、レコードの TTLによって決定されます。

クライアントまたは DNS-ASクライアント

DNS-ASクライアントに存在し、解析済み DNSサーバ応答（TXTレコードと「A」レコード）のデータベースとして機能するテーブル。

各DNS-ASクライアントには各自のバインディングテーブルがあります。

信頼ドメインリストは信頼ドメインのみ含むリストです。こ

のバインディングテーブルと混同しないでください。

バインディングテーブル

ドメイン名と IPアドレス情報（IPv4アドレスのみ）を含むレコード。これは DNSサーバ応答の 1つであり（もう 1つは TXTレコード）、期限が事前に定義されています。

ホストからのフォワードルックアップ要求は、「A」レコードの要求です。

「A」レコード



DNS-ASを使用した AVCの主要概念

意味または定義概念

メタデータを含むレコード。これは、DNSサーバ応答の 1つであり（もう 1つは「A」レコード）、期限が事前に定義されています。

TXTレコードは 255文字までに制限されています。

DNS-ASを使用したAVCの場合、TXT属性は常にCISCO-CLSです。CISCO CLS=で始まるすべての TXTレコードは、DNS-ASを使用した AVCメッセージとして認識できます。このメッセージの形式は次のとおりです。

CISCO-CLS =<option>:<val>{|<option>:<val>}*

TXT DNS-ASリソースレコードまたは TXTレコード

バインディングテーブル内の「A」レコードとTXTレコードの期限。

TTL値は DNSサーバ上で設定されます。

TTLは、TXTレコードと「A」レコードの両方に適用されますが、DNSクライアントは DNSサーバからの「A」レコード応答にのみ従います。

存続可能時間（TTL）

すべてのクライアントメタデータおよび「A」レコード要求で使用される DNSサーバ。

どの DNSドメインにも、権威 DNSサーバが 1つのみ存在します。

このサーバがアプリケーションメタデータのレコードをTXTレコードの形式で維持し、必要な形式で維持されているドメ

イン名に関するクエリにのみ、応答を返します。

次に、所定の形式のメタデータ例を示します：CISCO-CLS=app-name:example|app-class:TD|business:YES|app-id:CU/28202

権威 DNSサーバ

DNS-ASプロセスフローを使用した AVCDNS-ASを使用した AVCの動作には、DNSスヌーピングプロセスと DNS-ASクライアントプロセスが含まれます。この両方は緩やかに結びついていますが、独立したプロセスです。

DNSスヌーピングプロセス

手順

ステップ 1 ホストが「A」レコード要求を開始します。



DNS-ASプロセスフローを使用した AVC

組織のユーザはオフィスビル内の会議室にいます。ここでは、関連付けられた DNS-ASクライアントはスイッチです（この会議室からのネットワークトラフィックはこのスイッチを通じ

てルーティングされます）。ユーザがWebサイトの www.example.comを検索し、それにより「A」レコードの要求が開始されます。

ステップ 2 権威 DNSサーバが、「A」レコード応答で応答します。

DNS-ASクライアントプロセス

手順

ステップ 1 DNS-ASクライアントは権威 DNSサーバに DNSクエリ（TXT要求）を送信します。

DNS-ASクライアントは、（信頼ドメインリストのエントリに対応する）要求を継続的にスヌーピングし、ホストのフォワードルックアップ要求を検索します。DNS-ASクライアントはスヌーピングの結果に基づいて TXT要求を権威 DNSサーバに送信します。

DNS-ASクライアントはホストの「A」レコード要求のコピーを受信しますが、ホストの元の要求をいかなる方法でも変更しません。

（注）

ステップ 2 権威 DNSサーバは TXTレコード応答で応答します。

ステップ 3 TXT応答の成功後に「A」レコード要求が続きます。

ステップ 4 権威 DNSサーバが、「A」レコード応答で応答します。

ステップ 5 DNS-ASクライアントは応答を解析し、バインディングテーブルに保存します。

DNS-ASクライアントは TXTレコードと「A」レコードをバインディングテーブルに保存します。応答は、「A」レコードの TTLで指定された期間、バインディングテーブルに保存されたままとなります。システムによって、バインディングテーブル内の完全修飾ドメイン名の

重複エントリが自動的に確認され、防止されます。

DNS-ASクライアントは、（DNSサーバから）受信したメタデータを使用して、QoSポリシーを適用する必要があるかどうかを決定します。

DNS-ASクライアントは識別したアプリケーションに関する情報をFNFに転送し、この情報をエクスポートできるようにします。



DNS-ASクライアントプロセス

図：DNS-ASプロセスフローを使用した AVC

権威 DNSサーバ3DNS-ASクライアント2ホスト1

パート 1：DNSスヌーピングプロセス

DNSサーバからホストへの「A」レコード応答

ホストからDNSサーバへの「A」レコード要求

パート II：DNS-ASクライアントプロセス

--DNS-ASクライアントが保存する「A」レコード要求のコピー

DNSサーバからDNS-ASクライアントへの TXTレコードと「A」レコード応答

DNS-ASクライアントから DNSサーバへの TXTレコードと「A」レコード要求

スタッキングおよび DNS-ASを使用した AVCDNS-ASを使用した AVCはスタック構成をサポートします。スタック管理を確実に実行するには、アクティブなスタックマスター（DNS-ASクライアントも）のバインディングテーブルデータベースをスタックメンバー（DNS-ASクライアントも）と同期させます。DNS-ASを使用したAVCが有効になっている間は、ユーザ設定を追加する必要はありません。バインディングテーブルのエントリは次の場合に同期されます。

•スタックメンバが起動する（バルク同期）。

•新しいエントリがバインディングテーブルデータベースに追加される。

• 1つ以上のエントリがデータベースから消去される。

DNS-ASを使用した AVC用のデフォルト設定DNS-ASは無効になっています。



図：DNS-ASプロセスフローを使用した AVC

DNS-ASを使用した AVCの設定方法

メタデータストリームの生成

アプリケーションメタデータは、ローカルの権威 DNSサーバで設定され、保存されます。信頼ドメインごとに、既定の形式（メタデータストリーム）で、アプリケーション分類情報を設

定します。これは、アプリケーションメタデータを照会されたときにサーバがスイッチに伝達

する情報です。スイッチがアプリケーションに関する TXTクエリを送信すると、DNSサーバが TXT応答で関連メタデータを送信します。

メタデータストリームを生成するには、次のタスクを実行します。

手順

目的コマンドまたはアクション

これは、アプリケーションやドメインに

TXTレコード形式でメタデータストリームを生成するのに役立ちます。

次のメタデータフィールドを指定でき

ます。

AVCリソースレコードジェネレータに移動します。

例：

CISCO-CLS=app-name:example|app-class:TD|business:YES|app-id:CU/28202

ステップ 1

•（任意）ドメイン名

•（必須）アプリケーション名：値が必須です。既存のアプリケーション

名またはカスタムアプリケーショ

ン名を使用できます。

•既存のアプリケーション名（app-name:）：標準アプリケーションのリストから選択し

ます。

•（任意）カスタムアプリケーション名（app-name:）：カスタムアプリケーション名を入

力する場合は、メタデータス

トリーム内にもトラフィック

クラスとビジネス関連性情報を

維持する必要があります。

•（任意）セレクタ ID（app-id:）：分類エンジン ID（最初の8ビット）とセレクタ ID（次の 24ビット）から構成されます。



DNS-ASを使用した AVCの設定方法

https://www.dns-as.org/support/avc-rdata


•エンジン IDまたは分類エンジン ID：セレクタ IDのコンテキストを定義します。次のエンジ

ン IDのみが使用できます。

L3：IANAレイヤ 3のプロトコル番号

L4：IANAレイヤ 4のウェルノウンポート番号

L7：シスコのグローバルアプリケーション ID

CU：カスタムプロトコルこのエンジン IDをカスタムアプリケーション名に使用します。

•セレクタ ID：所定の分類エンジン IDのアプリケーションID。1～ 65535の数値を入力します。

既存のアプリケー

ション名にエンジン

IDとセレクタ IDを入力する場合は、Network BasedApplicationRecognition（NBAR）の標準に適合させる

必要があります。適

合させた後でのみ、

FNFエクスポータが共通の IDを一貫した方法で報告します。

（注）

•（任意）ポート範囲（server-port:）

•（任意）トラフィッククラス（app-class:）

•（任意）ビジネス関連性（business:）：yesまたは noを選択しなかった場合、ビジネス関連性の

値は app-classまたは app-nameに基



メタデータストリームの生成


づき、その優先順位の順序で設定さ

れます。

ここでトラフィッククラスとビジネス

関連性フィールドが QoSトラフィック分類にマッピングされる方法について

は、「アプリクラスと QoSトラフィックのマッピング」を参照してください。

Generate predefined：既知のアプリケーションに事前に定義されたメタデータ

メタデータストリームを生成するオプ

ションのいずれかをクリックします。

ステップ 2

ストリームを、ベストプラクティスの

デフォルト値を使用して生成します。• Generate predefined• Generate custom

Generatecustom：独自のアプリケーションのカスタムメタデータストリームを

カスタム値を使用して生成します。

例：

Generate predefined

メタデータストリームをWebサイトからコピーし、使用している権威 DNSサーバに貼り付けます。

信頼ドメインとしてマークした DNSドメインを担う DNSサーバの対応するTXTリソースレコードにメタデータをコピーします。

ステップ 3

権威サーバとしての DNSサーバの設定すべてのDNSクエリを 1台の権威DNSサーバに送信するように、ネットワーク内のすべてのDNS-ASクライアントを設定する必要があります。Cisco Catalystスイッチで次のタスクを実行します。

手順


グローバルコンフィギュレーション

モードを開始します。

configure terminal

例：

ステップ 1

デバイス# configure terminal

権威DNSサーバの IPアドレスを指定します。ポート番号は常に 53です。

ip name-serverserver-address

例：

ステップ 2

フェールオーバーに備えて最大2台のDNSサーバを設定できます。

デバイス(config)# ip name-serverserver-address 192.0.2.1 192.0.2.2



権威サーバとしての DNSサーバの設定


このコマンドを使用すると、

最大 6台のネームサーバ（IPv4および IPv6）を設定できます。シーケンス内の最初

の 2つ以上の IPアドレスをIPv4アドレスにします。これは、DNS-AS機能を使用したAVCがこれらのみを使用するためです。次の例では、最初

の 2つのアドレスが IPv4（192.0.2.1および192.0.2.2）、3番目のアドレス（2001:DB8::1）は IPv6アドレスです。DNS-ASを使用したAVCは最初の 2つを使用します。

デバイス(config)# ipname-server 192.0.2.1192.0.2.2 2001:DB8::1

（注）

DNS-ASを使用した AVCの有効化DNS-ASはデフォルトで無効になっています。Cisco Catalystスイッチで機能を有効にするには、次のタスクを実行します。

手順




configure terminal

例：

ステップ 1


スイッチで DNS-ASを使用した AVC（DNS-ASクライアント）を有効にします。

[no] avc dns-as client enable

例：

デバイス(config)# avc dns-as clientenable

ステップ 2

次に、システムによりバインディング

テーブルが作成されます。このバイン

ディングテーブルでは、解析した DNSサーバ応答が TTLが期限切れになるまで保存されます。



DNS-ASを使用した AVCの有効化


DNSパケットロギングやスヌーピングを確実に実行する

には、（トラフィッククラス

を決定する関連クラスマップ

を含んでいる）ポリシーマッ

プを service-policy inputコマンドを使用してインターフェ

イスに付加する必要がありま

す。詳細については、DNS-ASを使用した AVC用 QoSの設定（13ページ）を参照してください。

（注）

信頼ドメインのリストの維持

信頼ドメインは、DNS-ASを使用した AVCが有効になっている DNS-ASクライアントごとに保存されます。DNS-ASクライアントで機能が最初に有効になった時点では、リストは空です。スイッチで信頼すべきドメインを入力する必要があります。スイッチは、このリストに維

持されているネットワークトラフィックのみをスヌーピングします。信頼ドメインリストに

エントリを作成するには、次のタスクを実行します。

手順




configure terminal

例：

ステップ 1


信頼ドメインコンフィギュレーション


[no] avc dns-as client trusted-domains

例：

ステップ 2

デバイス(config)# avc dns-as clienttrusted-domains

信頼ドメインリストに追加するドメイ

ン名を入力します。これにより、

[no] domain domain-name

例：

ステップ 3

DNS-ASクライアントの信頼ドメインデバイス(config-trusted-domains)# domainwww.example.com リストの一部が形成されます。残りのす

べてのドメインは無視され、デフォルト

の転送動作に従います。

OR

デバイス(config-trusted-domains)# domain*example.com

最大 50ドメインを入力できます。



信頼ドメインのリストの維持


ドメイン名の照合には、正規表現を使用

できます。たとえば、組織のすべてのド

メインを表現するためにSwitch(config-trusted-domains)# domain

*.example.*, を入力した場合、DNS-ASクライアントは www.example.com、ftp.example.org、および、組織「example」に関連するその他のすべてのドメインを照合します。ただし、この

ようなエントリは自身の裁量で使用して

ください。バインディングテーブルの

サイズを大幅に拡大させる可能性があり

ます。

DNS-ASを使用した AVC用 QoSの設定信頼できるトラフィックをメタデータストリームに定義されているように分離し、分類するに

は、クラスマップを作成し（トラフィッククラスごとに1つ）、トラフィッククラスの一致基準とビジネス関連性の一致基準を定義し、ポリシーマップを作成し、クラスマップを追加し、

アクションを設定し、ポリシーマップをインターフェイスに付加する必要があります。詳細に

ついては、このガイドの「QoSの設定」の章の「分類の概要」「」「」の項を参照してください。

簡単な QoSモデルのクラスマップの設定

プロビジョニングする必要があるトラフィッククラスの数を特定するには、12クラスの簡単なQoSモデルを使用します。このモデルは、統一された標準ベースの推奨事項を提供し、QoS設計と導入の組織全体にわたる均一性と一貫性を保証するのに役立ちます。次の出力例では、12クラスの簡単な QoSモデルに従い、トラフィッククラスとビジネス関連性のクラスマップ設定が表示されています。

DNS-AS機能でのみ、各クラスに 2つの一致属性を指定できます。（注）

class-map match-all VOICEmatch protocol attribute traffic-class voip-telephonymatch protocol attribute business-relevance business-relevantclass-map match-all BROADCAST-VIDEOmatch protocol attribute traffic-class broadcast-videomatch protocol attribute business-relevance business-relevantclass-map match-all REAL-TIME-INTERACTIVEmatch protocol attribute traffic-class real-time-interactivematch protocol attribute business-relevance business-relevantclass-map match-all MULTIMEDIA-CONFERENCINGmatch protocol attribute traffic-class multimedia-conferencing



DNS-ASを使用した AVC用 QoSの設定

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-2_5_e/configuration_guide/b_1525e_consolidated_2960x_cg/b_1525e_consolidated_2960x_cg_chapter_011011.html#ID93

match protocol attribute business-relevance business-relevantclass-map match-all MULTIMEDIA-STREAMINGmatch protocol attribute traffic-class multimedia-streamingmatch protocol attribute business-relevance business-relevantclass-map match-all SIGNALINGmatch protocol attribute traffic-class signalingmatch protocol attribute business-relevance business-relevantclass-map match-all NETWORK-CONTROLmatch protocol attribute traffic-class network-controlmatch protocol attribute business-relevance business-relevantclass-map match-all NETWORK-MANAGEMENTmatch protocol attribute traffic-class ops-admin-mgmtmatch protocol attribute business-relevance business-relevantclass-map match-all TRANSACTIONAL-DATAmatch protocol attribute traffic-class transactional-datamatch protocol attribute business-relevance business-relevantclass-map match-all BULK-DATAmatch protocol attribute traffic-class bulk-datamatch protocol attribute business-relevance business-relevantclass-map match-all SCAVENGERmatch protocol attribute business-relevance business-irrelevant

簡単な QoSモデルのポリシーマップの定義

次の出力例では、ポリシーマップの定義と、12クラスの簡単な QoSモデルですべてのトラフィッククラスをマーキングするトラフィック属性が表示されています。

policy-map MARKINGclass VOICEset dscp efclass BROADCAST-VIDEOset dscp cs5class REAL-TIME-INTERACTIVEset dscp cs4class MULTIMEDIA-CONFERENCINGset dscp af41class MULTIMEDIA-STREAMINGset dscp af31class SIGNALINGset dscp cs3class NETWORK-CONTROLset dscp cs6class NETWORK-MANAGEMENTset dscp cs2class TRANSACTIONAL-DATAset dscp af21class BULK-DATAset dscp af11class SCAVENGERset dscp cs1class class-defaultset dscp default

アプリクラスと QoSトラフィックのマッピング

次の表に、メタデータストリームマップの app-classフィールドをトラフィック分類の 12クラスの簡単な QoSモデルにマッピングする方法を示します。




アプリクラスと QoSトラフィックのマッピング

対応するQosトラフィッククラス名とビジネス関連性

アプリケーションクラスの

短いテキスト

アプリケーションクラスの長い

テキスト

トラフィッククラス =voip-telephony

ビジネス関連性 = YES

VOVOIP-TELEPHONY

トラフィッククラス =broadcast-video


BVBROADCAST-VIDEO

トラフィッククラス =real-time-interactive


RTIREALTIME-INTERACTIVE

トラフィッククラス =multimedia-conferencing


MMCMULTIMEDIA-CONFERENCING

トラフィッククラス =multimedia-streaming


MMSMULTIMEDIA-STREAMING

トラフィッククラス =network-control


NCNETWORK-CONTROL

トラフィッククラス = Signaling

ビジネス関連性 = Yes

CSSIGNALING

トラフィッククラス =ops-admin-mgmt


OAMOPS-ADMIN-MGMT

トラフィッククラス =Transactional-Data


TDTRANSACTIONAL-DATA

トラフィッククラス = bulk-data


BDBULK-DATA




対応するQosトラフィッククラス名とビジネス関連性

アプリケーションクラスの

短いテキスト

アプリケーションクラスの長い

テキスト

トラフィッククラス = <nochange>

ビジネス関連性 = default

BEBEST-EFFORT

トラフィッククラス = <nochange>

ビジネス関連性 = NO

SCVSCAVENGER

ネットワーク制御トラフィックの分類

次に、ネットワーク制御トラフィックを分類する例を示します。維持する必要がある

対応するメタデータは CISCO-CLS=app-name:example|app-class:NC|business:YESです。

1. クラスマップを作成し、属性を一致させます。

デバイス# configure terminalEnter configuration commands, one per line. End with CNTL/Z.

デバイス(config)# class-map NETWORK-CONTROLデバイス(config-cmap)# match protocol attribute traffic-class network-controlデバイス(config-cmap)# match protocol attribute business-relevance business-relevantデバイス(config-cmap)# end

2. ポリシーマップを作成し、それにクラスマップを付加して、優先順位を指定します。

デバイス# configure terminalデバイス configuration commands, one per line. End with CNTL/Z.

デバイス(config)# policy-map MARKINGデバイス(config-pmap)# class NETWORK-CONTROLデバイス(config-pmap-c)# set dscp efデバイス(config-pmap-c)# end

3. インターフェイスにポリシーマップを付加します。

デバイス# configure terminalEnter configuration commands, one per line. End with CNTL/Z.

デバイス(config)# interface tengigabitethernet 1/0/1デバイス(config-if)# service-policy input MARKINGデバイス(config-if)# end

DNS-ASを使用した AVC用 FNFの設定FNFを使用すると、ネットワーク上で実行されているアプリケーションについての可視性が得られ、FNFオプションテンプレートを使用してアプリケーションの ID、説明、および属性の情報をエクスポートできます。DNS-ASクライアント上では、次のFNF設定を行う必要があります。



DNS-ASを使用した AVC用 FNFの設定

•非キーフィールド application-name、キーフィールドの ipv4 source addressとipv4destinationaddressを収集するためのフローレコードを設定します。

•フローエクスポータと 2つのオプションテンプレートを設定します。オプションテンプレートは、アプリケーションの情報を取得します。

オプションテンプレート application-table：DNS-ASクライアントによって解決されたアプリケーションのみをエクスポートします。つまり、バインディングテーブルからアプリ

ケーション IDと名前のみがエクスポートされます。対応するアプリケーションの記述は、標準的なアプリケーションの Network Based Application Recognition（NBAR）からのものです。構築化されたヘルプ文字列は、カスタムアプリケーションに使用されます。

オプションテンプレート application-attributesは、アプリケーション名にマッピングすることによって属性情報を取得します。標準的なアプリケーション名を使用した場合、オプ

ションテンプレートは標準的な Network Based Application Recognition（NBAR）属性の定義が使用されます。カスタムアプリケーション名が使用された場合、ユーザ定義のアプリ

ケーションと特定の属性フィールドのみが値を確実に伝達します。

•フローモニタを設定し、それをインターフェイスに適用することで、ネットワークトラフィックの監視を有効にします。

DNS-ASを使用したFNFインタラクション：フローテーブルで作成されたすべてのフローで、DNS-ASクライアントは宛先 IPアドレスまたは送信元 IPアドレス（使用できない場合）を使用し、フローのアプリケーション名を解決します（バインディングテーブルにエントリが存在

する場合）。

FNFは、対応するアプリケーションにマッピングされているオプションテンプレートデータを設定された間隔（デフォルトでは600秒）で定期的に外部コレクタにエクスポートします。

オプションテンプレート

application-tableおよび application-attributesオプションテンプレートがサポートされています。オプションテンプレートにより、外部コレクタにエクスポートする情報が決定されます。

option application-table

このテンプレートは、アプリケーション名、アプリケーションタグ、および説明を外部コレク

タにエクスポートします。

DNS-ASを使用した AVCが有効になっているデバイスでは、DNS-ASクライアントによって解決されたアプリケーションのみがエクスポートされます。ただし、永続的な機能として、

application-tableテンプレートは、この機能が有効になっているかどうかにかかわらず、unclassifiedと unknownのアプリケーションをエクスポートします。

•アプリケーション名：カスタムアプリケーションおよび標準アプリケーションの場合、この情報はバインディングテーブルに保存されている TXT応答（app-name:）から抽出されます。

•アプリケーションタグ：DNS-AS機能を使用した AVCでは、アプリケーション IDと同じです。エンジン IDとセレクタ IDで構成されています。




•エンジン IDまたは分類エンジン ID：セレクタ IDのコンテキストを定義します。次の値のみがサポートされています。

• L3：IANAレイヤ 3プロトコル番号（IANA_L3_STANDARD、ID：1）

• L4：IANAレイヤ 4のウェルノウンポート番号（IANA_L4_STANDARD、ID：3）

• L7：シスコのグローバルアプリケーション ID（CISCO_L7_GLOBAL、ID：13）

• CU：カスタムプロトコル（NBAR_CUSTOM、ID：6）

•セレクタ ID：アプリケーションまたは分類を一意に識別します。

標準アプリケーションの場合、アプリケーションタグ情報は次の送信元から記載されてい

る順に抽出されます。

1. TXT応答（app-id:）

2. 標準的なアプリケーションの NBAR定義（TXT応答が値を持たない場合）

カスタムアプリケーションの場合は、アプリケーションタグ情報に次が適用されます。

• TXT応答（app-id:）からのみ抽出されます。

•エンジン IDの場合、DNS-ASクライアントが自動的に CU（カスタムプロトコル）を使用します（NBAR_CUSTOM、ID：6）。

•セレクタ IDの場合、DNS-ASクライアントがカスタムセレクタ IDを割り当てます。最大 120のカスタムアプリケーションがサポートされます。その中の 110のカスタムアプリケーションを DNS-ASクライアントに使用できます。セレクタ ID値 243以降は、降順で IDが割り当てられます。割り当てる IDがなくなった場合、エントリはバインディングテーブルに保存されません。

•説明：この情報は、標準アプリケーションの NBAR定義から抽出されます。カスタムアプリケーションの場合、DNS-ASクライアントはユーザ定義のプロトコル <app-name>を使用します。

option application-attributes

このテンプレートは、コレクタが属性にアプリケーション名を（オプションの application-tableから）マッピングできるようにします。属性は、プロトコルまたはアプリケーションごとに静

的に割り当てられ、トラフィックには依存しません。このテンプレートでは、次の属性がサ

ポートされています。

標準アプリケーションの場合：

•アプリケーションタグ：上記の option application-tableセクションのアプリケーションタグの情報を参照してください。ここでも同じことが当てはまります。




•カテゴリ：一致基準として、各プロトコルのカテゴリ化の最初のレベルに基づいてアプリケーションをグループ化します。類似したアプリケーションが1つのカテゴリにまとめてグループ化されます。たとえば、電子メールカテゴリには、Internet Mail Access Protocol（IMAP）、Simple Mail Transfer Protocol（SMTP）、Lotus Notesなどのすべての電子メールアプリケーションが含まれます。

•サブカテゴリ：一致基準として、各プロトコルのカテゴリ化の2番目のレベルに基づいてアプリケーションをグループ化します。たとえば、clearcase、dbase、rda、mysql、その他のデータベースアプリケーションはデータベースグループにグループ化されます。

•アプリケーショングループ：同じネットワーキングアプリケーションをまとめてグループ化します。たとえば、Example-Messenger、Example-VoIP-messenger、およびExample-VoIP-over-SIPを example-messenger-groupの下にまとめてグループ化します。

•ピアツーピア（p2p）：p2pテクノロジーを使用するかどうかに基づいてプロトコルをグループ化します。

•トンネル：プロトコルが他のプロトコルのトラフィックをトンネルするかどうかに基づいてプロトコルを分類します。NBARが値を指定しないプロトコルは、未割り当てのトンネルグループに分類されます。たとえば、レイヤ 2トンネリングプロトコル（L2TP）などです。

•暗号化：アプリケーションの暗号化と非暗号化のステータスに基づいてアプリケーションをグループ化します。NBARが値を指定しないプロトコルは、未割り当ての暗号化グループに分類されます。

•トラフィックのクラス：所属するトラフィッククラスに基づいてアプリケーションとプロトコルを分類します。たとえば、トラフィッククラスTDのすべてのアプリケーションが挙げられます。トラフィッククラス情報は、次の送信元から記載されている順に抽出され

ます。

1. TXT応答（app-class:）


•ビジネスの関連性：ビジネスに関連があるとマークされているかどうかに基づいてアプリケーションをブループ化します。たとえば、ビジネス関連性がYESのすべてのアプリケーションが挙げられます。ビジネス関連性情報は、次の送信元から記載されている順に抽出

されます。

1. TXT応答（business:）


カスタムアプリケーションの場合：

application-attributesオプションテンプレートの次の属性のみが値を伝送することが保証されています。

•アプリケーションタグ：上記の option application-tableセクションのアプリケーションタグの情報を参照してください。ここでも同じことが当てはまります。




•トラフィッククラス：この情報は TXT応答（app-class:）から抽出されます。

•ビジネスの関連性：この情報は TXT応答（business:）から抽出されます。

DNS-ASを使用した AVC用 FNF設定の例

次に、DNS-ASを使用した AVC用 FNFを設定する例を示します。

パート 1：フローレコードを作成します。例に示すように設定する必要があります。

•アプリケーション名を解決するための、keyフィールドとしての送信元と宛先のIPアドレス。

•フローレコード内の nonkeyフィールドとしてのアプリケーション名の使用。

さらに、フロー内のバイトまたはパケット数をnonkeyフィールドとして設定して、コレクタに送信するアプリケーションの数を表示することもできます（オプション）。

デバイス# configure terminalデバイス(config)# flow record example-record1デバイス(config-flow-record)# match ipv4 source addressデバイス(config-flow-record)# match ipv4 destination addressデバイス(config-flow-record)# collect application nameデバイス(config-flow-record)# collect counter packetsデバイス(config-flow-record)# exit

デバイス# show flow record example-record1flow record example-record1match ipv4 source addressmatch ipv4 destination addresscollect application namecollect counter packets

パート 2：フローエクスポータを作成します。

また、application-tableオプションテンプレートと application-attributesオプションテンプレートもエクスポータ内に設定します。オプションテンプレートを使用しない

と、コレクタは意味のあるアプリケーション情報を取得できません。少なくとも、

application-tableオプションを設定することを推奨します。属性情報の場合は、application-attributeオプションも設定します。

また、テンプレートをエクスポートする頻度を秒単位で変更することもできます（許

容範囲は 1～ 86400秒、デフォルト値は 600秒）。

デバイス(config)# flow exporter example-exporter1デバイス(config-flow-exporter)# option application-tableデバイス(config-flow-exporter)# option application-attributesデバイス(config-flow-exporter)# template data timeout 500デバイス(config-flow-exporter)# exit

デバイス# show flow exporter example-exporter1Flow Exporter example-exporter1:Description: User definedExport protocol: NetFlow Version 9Transport Configuration:




Destination IP address: 192.0.1.254Source IP address: 192.51.100.2Transport Protocol: UDPDestination Port: 9995Source Port: 54964DSCP: 0x0TTL: 255Output Features: Not Used

Options Configuration:application-table (timeout 500 seconds)application-attributes (timeout 500 seconds)

デバイス# show flow exporter example-exporter1 statisticsFlow Exporter example-exporter1:Packet send statistics (last cleared 00:00:48 ago):Successfully sent: 2 (924 bytes)

Client send statistics:Client: Option options application-nameRecords added: 4- sent: 4

Bytes added: 332- sent: 332

Client: Option options application-attributesRecords added: 2- sent: 2

Bytes added: 388- sent: 388

パート 3：フローモニタを作成します。

フローモニタをインターフェイスに適用し、ネットワークトラフィックの監視を実行

します。

また、同じインターフェイスに QoSポリシーも適用できます。次のれいでは、同じQoS設定の一部として作成されたQoSポリシーを適用しています（ネットワーク制御トラフィックの分類（16ページ））。

デバイス# configure terminalデバイス(config)# flow monitor example-monitor1デバイス(config-flow-monitor)# record example-record1デバイス(config-flow-monitor)# exporter exporter-export1デバイス(config-flow-monitor)# exitデバイス(config)# interface tengigabitethernet 1/0/1デバイス(config-if)# switchport acceess vlan 100デバイス(config-if)# switchport mode accessデバイス(config-if)# ip flow monitor example-monitor1 inputデバイス(config-if)# service-policy input MARKINGデバイス(config-if)# end

デバイス# show flow monitorflow monitor example-monitor1record example-record1exporter example-exporter1!

デバイス# show interface tengigabitethernet1/0/1interface tengigabitethernet1/0/1switchport access vlan 100




switchport mode accessip flow monitor example-monitor1 input

デバイス# show flow monitor example-monitor1 cacheCache type: NormalCache size: 16640Current entries: 3High Watermark: 3

Flows added: 6Flows aged: 3- Active timeout ( 1800 secs) 0- Inactive timeout ( 30 secs) 3- Event aged 0- Watermark aged 0- Emergency aged 0

IPV4 SOURCE ADDRESS: 192.0.1.254IPV4 DESTINATION ADDRESS: 192.51.100.2counter packets long: 7479application name: appexample1

IPV4 SOURCE ADDRESS: 192.51.100.11IPV4 DESTINATION ADDRESS: 203.0.113.125counter packets long: 445application name: appexample2

IPV4 SOURCE ADDRESS: 192.51.51.51IPV4 DESTINATION ADDRESS: 203.0.113.100counter packets long: 14325application name: appexample3Switch#

パート 4：その他の関連 showコマンド

デバイス# show avc dns-as client binding-table detailDNS-AS generated protocols:Max number of protocols :50Customization interval [min] :N/A

Age : The amount of time that the entry is activeTTL : Time to live which was learned from DNS-AS serverTime To Expire : Entry expiration time in case device does not see DNS traffic forthe entry host

Protocol-Name : appexample1VRF : <default>Host : www.appexample1.comAge[min] : 2TTL[min] : 60Time To Expire[min] : 58TXT Record : app-name:appexample1|app-class:VO|business:YESTraffic Class : voip-telephonyBusiness Relevance : business relevantIP : 192.0.1.254

Protocol-Name : appexample2VRF : <default>Host : www.appexample2.comAge[min] : 2TTL[min] : 60Time To Expire[min] : 58




TXT Record : app-name:appexample2|app-class:VO|business:YESTraffic Class : voip-telephonyBusiness Relevance : business relevantIP : 192.51.100.11

<output truncated>

デバイス# show flow exporter option application enginesEngine: prot (IANA_L3_STANDARD, ID: 1)Engine: port (IANA_L4_STANDARD, ID: 3)Engine: NBAR (NBAR_CUSTOM, ID: 6)Engine: cisco (CISCO_L7_GLOBAL, ID: 13)

デバイス# show flow exporter option application tableEngine: prot (IANA_L3_STANDARD, ID: 1)appID Name Description----- ---- -----------

Engine: port (IANA_L4_STANDARD, ID: 3)appID Name Description----- ---- -----------

Engine: NBAR (NBAR_CUSTOM, ID: 6)appID Name Description----- ---- -----------6:28202 appexample1 User defined protocol appexample1

Engine: cisco (CISCO_L7_GLOBAL, ID: 13)appID Name Description----- ---- -----------13:0 unclassified Unclassified traffic13:1 unknown Unknown application13:518 appexample2 appexample2, social web application and service

DNS-ASを使用した AVCの監視設定した、さまざまな DNS-ASを使用した AVC設定を表示するには、特権 EXECモードで次のコマンドを使用します。

表 1 : DNS-ASを使用した AVCの監視コマンド

出力の例目的コマンド

例：show avc dns-as client statusDNS-ASクライアントの現在のステータスを表示します。

このコマンドを使用すると、

DNS-ASを使用した AVCが有効になっているかどうかを知

ることができます。

show avc dns-as client status

例：show avc dns-as clienttrusted-domains

バインディングテーブルに維

持されている信頼ドメインの

リストを表示します。

show avc dns-as clienttrusted-domains



DNS-ASを使用した AVCの監視

出力の例目的コマンド

例：show avc dns-as clientbinding-table

信頼ドメインと解決済みエン

トリのリスト用の DNS-ASを使用したAVCのメタデータを表示します。アプリケーショ

ン名やドメイン名などで、出

力をフィルタリングできま

す。

どちらのコマンドも、異なる

形式で同じ情報を表示しま

す。

show avc dns-as clientbinding-table

および

show avc dns-as clientbinding-table detail

例：show avc dns-as clientstatistics

パケットロギング情報（送信

したDNSクエリの数と受信した応答の数）を表示します。

show avc dns-as client statistics

例：show avc dns-as clientname-server brief

メタデータ要求の送信先の

DNSサーバに関する情報を表示します。

show avc dns-as clientname-server brief

例：show ip name-server維持されているすべてのネー

ムサーバの IPアドレスを表示します。

show ip name-server

例：show platform tcamutilization

TCAMの可用性に関する情報を表示します。

show platform tcam utilization

例：show avc dns-as client status

デバイス# show avc dns-as client statusDNS-AS client is enabled

表 1 : DNS-ASを使用した AVCの監視コマンドに戻る

例：show avc dns-as client trusted-domains

デバイス# show avc dns-as client trusted-domainsId | Trusted domain----------------------------------------------------

1| example.com2| www.example.com3| example.net4| www.example.net5| example.org6| www.example.org


例：show avc dns-as client binding-table




デバイス# show avc dns-as client binding-tableSwitch# show avc dns-as client binding-table detailedDNS-AS generated protocols:Max number of protocols :50Customization interval [min] :N/A

Age : The amount of time that the entry is activeTTL : Time to live which was learned from DNS-AS serverTime To Expire : Entry expiration time in case device does not see DNS traffic for theentry host

Protocol-Name : exampleVRF : <default>Host : www.example.comAge[min] : 2TTL[min] : 60Time To Expire[min] : 58TXT Record : app-name:example|app-class:VO|business:YESTraffic Class : voip-telephonyBusiness Relevance : business relevantIP : 192.0.2.121: 192.0.2.254: 198.51.100.1: 198.51.100.254: 192.51.100.12: 203.0.113.125<output truncated>


例：show avc dns-as client statistics

この例では、2つの DNSサーバが設定されます。（注）

デバイス# show avc dns-as client statisticsServer details: vrf-id = 0 vrf-name = <default> ip = 192.0.2.1AAAA Query Error packets 0AAAA Query TX packets 0AAAA Response RX packets 0TXT Query Error packets 0TXT Query TX packets 8TXT Response RX packets 0A Query Error packets 0A Query TX packets 6A Response RX packets 0Server details: vrf-id = 0 vrf-name = <default> ip = 192.0.2.2AAAA Query Error packets 0AAAA Query TX packets 0AAAA Response RX packets 0TXT Query Error packets 0TXT Query TX packets 2TXT Response RX packets 2A Query Error packets 0A Query TX packets 4A Response RX packets 2Total Drop packets 0

avc_dns_as_pkts_logged = 2avc_dns_as_q_pkts_processed = 2





例：show avc dns-as client name-server brief

デバイス# show avc dns-as client name-server brief

Server-IP | Vrf-name------------------------------------------------------192.0.2.1 | <default>192.0.2.2 | <default>


例：show ip name-server

デバイス# show ip name-server192.0.2.1192.0.2.22001:DB8::1


例：show platform tcam utilization

関連する TCAMエントリは IPv4 qos aces:です。（注）

デバイス# show platform tcam utilizationCAM Utilization for ASIC# 0 Max UsedMasks/Values Masks/values

Unicast mac addresses: 16604/16604 24/24IPv4 IGMP groups + multicast routes: 1072/1072 3/3IPv4 unicast directly-connected routes: 4096/4096 4/4IPv4 unicast indirectly-connected routes: 1280/1280 40/40IPv6 Multicast groups: 1072/1072 18/18IPv6 unicast directly-connected routes: 4096/4096 1/1IPv6 unicast indirectly-connected routes: 1280/1280 32/32IPv4 policy based routing aces: 512/512 14/14IPv4 qos aces: 512/512 51/51IPv4 security aces: 1024/1024 78/78IPv6 policy based routing aces: 256/256 8/8IPv6 qos aces: 256/256 44/44IPv6 security aces: 512/512 18/18

Note: Allocation of TCAM entries per feature usesa complex algorithm. The above information is meantto provide an abstract view of the current TCAM utilization





DNS-ASを使用した AVCのトラブルシューティング考えられる原因と解決策問題

バインドテーブルが、次の理由のいずれか、または両方によって空に

なっている可能性があります。

• DNSサーバでメタデータが維持されていない―次のタスクを完了してください：メタデータストリームの生成（8ページ）

•信頼ドメインリストでエントリが維持されていない―次のタスクを完了してください：信頼ドメインのリストの維持（12ページ）

バインディングテー

ブルにエントリがな

い。

DNSスヌーピングおよびパケットロギングを確実に実行するには、ポリシーマップ（トラフィッククラスを決定する関連クラスマップ

が含まれている）をインターフェイスに付加する必要があります。次

の例を参照してください：DNS-ASを使用したAVC用QoSの設定（13ページ）

DNSスヌーピングまたはパケットロギン

グに失敗する。

正しい DNS-ASメタデータが DNSシステムに維持されていることを確認します。

• Linuxの digを次のように使用します。dig TXT +short www.example.org [dns-server-ip]"CISCO-CLS=app-name:example|app-class:TD|business:YES|app-id:CU/28202"

• Windows nslookupを次のように使用します。C:\Windows\system32>NSLookup.exe -q=TXT www.example.org[dns-server-ip]www.example.org text ="CISCO-CLS=app-name:example|app-class:TD|business:YES|app-id:CU/28202"

DNSサーバが不正な値を返す。

DNS-ASクライアントがアプリケーションを認識し、「A」レコード応答がバインディングテーブルに保存されると、システムは TCAMを使用してそのアプリケーションの IPアドレスを保存します。事実上、単一のアプリケーションが複数の IPアドレスを持つことができ、各アプリケーションがTCAMのスペースをさらに使用します。TCAMが枯渇すると、QoSポリシーは適用を停止します。

この問題を回避するには、定期的に TCAMの使用率を監視します。TCAMの可用性に関する情報を表示するには、show platform tcamutilisationコマンドを特権 EXECモードで入力します。

適用した QoSポリシーがポートから削除

されている。



DNS-ASを使用した AVCのトラブルシューティング

考えられる原因と解決策問題

次の場合に、DNS-ASクライアントが、QoSマッピングを無視し、デフォルトの転送動作を適用します。

•トラフィッククラスとビジネス関連性に指定した一致属性が、メタデータストリームに定義したものと一致しない場合、必要に応

じて修正してください。

•バインディングテーブルエントリがアクティブでなくなっている場合、これはエントリの経過時間を意味します。エントリの経

過時間を表示するには、show avc dns-as client binding-tableコマンドを使用します。

DNS-ASクライアントが、定義した QoSマッピングを無視し、

デフォルトの転送動作

を適用します。

DNS-ASを使用した AVCの機能履歴および情報次の表に、この章で説明した機能に関するリリース情報を示します。この表は、ソフトウェア

リリーストレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示し

ています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサ

ポートされます。

変更内容リリース

この機能が導入されました。Cisco IOSリリース 15.2(5)E1

DNS-ASを使用した AVC向けにFlexibleNetflow（FnF）が導入され、FNFを使用してアプリケーション情報をエクス

ポートできるようになりまし

た。

Cisco IOSリリース 15.2(5)E2



DNS-ASを使用した AVCの機能履歴および情報

DNS-AS を使用した AVC の設定 -...

Documents

Transcript of DNS-AS を使用した AVC の設定 -...